BTC:Curve深陷安全事件 如何建立防范黑客和追查資金的“攻防機制”?

7月31號，Curve 在平臺表示 Vyper 0.2.15 的穩定幣池由于編譯器的漏洞所以遭到攻擊。具體因為重入鎖功能的失效，所以黑客可以輕易發動重入攻擊，即允許攻擊者在單次交易中執行某些功能。

7月31號，Curve 在平臺表示 Vyper 0.2.15 的穩定幣池由于編譯器的漏洞所以遭到攻擊。具體因為重入鎖功能的失效，所以黑客可以輕易發動重入攻擊，即允許攻擊者在單次交易中執行某些功能。而Curve上的部分資金池又使用了舊版本的編譯器，給黑客提供了機會。

（重入攻擊是一種由于 Vyper 的特性加上智能合約編寫不當導致的漏洞，之前已經多次發生，歐科云鏈的安全團隊之前有過對此類案例的詳細分析，點擊文末左下角“閱讀原文”查看，所以本文對攻擊細節不再展示)

緊接著其他多個項目都宣布遭受到了攻擊，NFT 質押協議 JPEG’d，借貸項目 AlchemixFi 和 DeFi 協議 MetronomeDAO，跨鏈橋 deBridge、采用 Curve 機制的 DEX Ellipsis等都分別遭受巨額損失。

Curve將支持wstETH為抵押品鑄造crvUSD:6月8日消息，據相關投票頁面信息，Curve社區已投票通過第416號提案，擬部署1.5億枚crvUSD債務上限的wstETH市場，并將PegKeepers的限制提高到每個2500萬枚crvUSD。[2023/6/8 21:23:40]

然而在7月30號，一些項目方已經知道了潛在的攻擊威脅。以 Alchemix 為例，在30號就已經開始轉出資產，而且已經成功的轉出 8000ETH，但是在轉移資產的過程中，依然被攻擊者盜取在 AMO 合約的剩余 5000ETH。

一個未知錢包向Curve.fi轉入4000萬枚USDT:金色財經報道，據Whale Alert數據顯示，一個未知錢包向Curve.fi轉入4000萬枚USDT，交易哈希為：0x77f0280d9c447ad5a028a85af9bce1d688c3bcebdbb46535ba739784edf78e99；轉出地址：0x3ddfa8ec3052539b6c9549f12cea2c295cff5296；轉入地址：Curve.Fi 0xbebc44782c7db0a1a60cb6fe97d0b483032ff1c7。[2021/12/29 8:12:50]

圖片來源：OKLink Explorer

其他項目方也相繼采取了一些措施，如 AAVE 禁止 Curve 進行借貸；Alchemix 也從曲線池中移除 AMO 控制的流動性；Metronome 直接暫停主網功能。

Curve新增HBTC/WBTC資金池鎖倉超過600萬美金:在穩定幣兌換平臺Curve（CRV）正式添加HBTC/WBTC資金池并通過權重投票后，用戶已可以在Curve平臺進行比特幣錨定幣HBTC與WBTC之間的兌換。截止目前，該資金池已上線三小時，鎖倉總額已超過600萬美金。

據了解，HBTC/WBTC資金池將進一步增加比特幣錨定幣（以太坊區塊鏈上的比特幣代幣）的流動性。HBTC于今年2月份由火幣全球站推出，是一種以太坊區塊鏈的比特幣代幣，HBTC遵守1:1的擔保資產，用戶可以在火幣全球站、火幣韓國、Bitpie、Mykey獲得HBTC。[2020/9/10]

Curve 不是第一次出現被黑客攻擊的事件了，作為 Defi 的頂級項目都無法免疫黑客攻擊，普通的項目方更應該在黑客攻擊端和合約防守端重視起來。

那么針對進攻端，項目方可以做哪些準備呢？

eCurrency首席科學家文武：將與RCBC、菲律賓央行合作 最早今年二季度推出RCBC電子貨幣:據第一財經報道，eCurrency已經在三個發展中國家開始商業運營，同時也接受這些國家央行的監管和指導。最近，eCurrency已經與菲律賓最大的民營銀行Rizal Commercial Banking Corporation（RCBC）合作推出了數字現金產品，可以說是邁出了實現數字法定貨幣的第一步。為了支持菲律賓央行引入的“沙盒監管”倡議，RCBC推出的數字現金可以在菲律賓現有支付交易平臺上進行流通，并且適用于所有電子貨幣錢包。eCurrency和RCBC將與菲律賓央行合作，最早在2018年二季度推出RCBC的電子貨幣。[2018/2/26]

OKLink 團隊推薦項目方通過鏈上標簽系統提前辨別有黑歷史的錢包，阻止有過異常行為地址的交互。Curve 的其中一個攻擊者的地址就有過不良記錄曾被 OKLink 記錄，如下圖所示：

圖片來源：OKLink Chaintelligence Pro其行為模式也一定程度上超出常理，如下圖所示，有三日交易筆數過百。

圖片來源：OKLink Onchain AML項目方如何在防守端進行防御呢？

針對上述事件梳理，我們發現項目方在處理此類事件的兩點問題，

1. 維護工作不到位。大部分項目非常注重代碼的編寫和審核，但是維護工作一直沒受到重視，Vyper 編譯器的這個漏洞是兩年前被發現的，但受攻擊的池子還是采用的舊版編譯器。

2. 代碼測試場景過于單一。很多測試代碼起不到真正的測試問題的作用，應增加模糊測試等更復雜的測試手段，且應該在黑客攻擊途徑，攻擊復雜度，機密性，完整性等多個維度進行測試的工作。

現實中，大部分被盜資金都難以追回。下圖是黑客轉出資金去向，可以看到被盜 ETH 沒有對外轉出動作，地址也沒有和實體機構相關聯。

圖片來源：OKLink Chaintelligence Pro有一部分地址和實體機構有關聯的，如地址0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (已歸還2,879.54 ETH)，類似地址有關聯實體機構的，我們可以通過報警和實體機構協商的辦法追回資金。

圖片來源：OKLink Chaintelligence Pro針對此次事件的正確做法是通過 OKLink 或者其他技術服務商的預警和跟蹤功能，等待沉淀地址的后續的資金動向，在進一步實施行動。但是，最好的方法是行業團結一致制定基于安全事件的響應機制，可以對有異常行為進行更好的打擊。

重入攻擊此類的安全事件一定還會發生，所以除了上述在攻防兩端我們需要付出的努力外，項目方需要做好應急預案，當受到黑客攻擊時能最及時的進行反應，減少項目方和用戶的損失。Vyper貢獻者也建議，對于 Vyper 此類公共產品我們應該加強公眾激勵，尋找關鍵漏洞。OKLink呼吁應該盡早建立起一套安全響應標準，讓黑/灰地址的資金追蹤變得更加容易。

正如 OKLink 產品在此類事件中的攻防兩端起到防范黑客和追查資金的作用，項目方在搭建平臺的安全模塊時應考慮第三方技術服務商可以帶來的額外價值，更快更好的筑起項目的安全堡壘。

歐科云鏈的 Raymond Lei 和 Mengxuan Ren 對此文亦有幫助。

歐科云鏈

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：CURCurveBTCINKcurve幣總量SCURVE價格HBTCPINKPANDA

DOGE